пятница, 26 января 2018 г.

GandCrab

GandCrab Ransomware

GDCB Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключей, а затем требует выкуп в 1-3 Dash (крипто-валюта), чтобы купить у вымогателей GandCrab Decryptor и вернуть файлы. Оригинальное название: GandCrab. На файле написано: GandCrab.exe. Разработчик: скрыты под никами kdabjnrg, GandCrab. Есть сведения, что вымогатели действуют из Румынии. Среди распространителей шифровальщика есть знающие русский язык. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: GandCrab > GandCrab-2GandCrab-3 > GandCrab-4 > GandCrab-5 > ...
Изображение не принадлежит шифровальщику (этот логотип статьи)

К зашифрованным файлам добавляется расширение .GDCB 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые дни распространения наибольшее количество пострадавших было в Южной Корее. Позже добавились пострадавшие из Бразилии, США, Индии, Индонезии, Пакистана и других стран. Спустя полтора месяца в числе стран с наибольшим количеством пострадавших: США (48%), Великобритания, Финляндия, Израиль (по 5%), Австралия (4%), Канада, Норвегия, Швеция (по 3%) и другие в меньшей степени. 

Записка с требованием выкупа называется: GDCB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB =---
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - xxxxs://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!

Перевод записки на русский язык:
---= GANDCRAB =---
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
1. Загрузите Tor-браузер - xxxxs: //www.torproject.org/
2. Установите Tor-браузер
3. Откройте Tor-браузер
4. Откройте ссылку в Tor-браузере: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Следуйте инструкциям на этой странице
Если браузер Tor / Tor-браузер заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в вашем обычном браузере:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
ОПАСНО!
Не пытайтесь изменять файлы или использовать свой закрытый ключ - это приведет к потере ваших данных!


Информация также находится на Tor-сайте вымогателей. Они обещают по истечении отведенного для выкупа срока удвоить сумму выкупа. 
 Скриншоты с Tor-сайта вымогателей

По всей видимости это первый крипто-вымогатель, который требует выкуп в крипто-валюте Dash. Судя по скриншотам, Dash за день даже подрос. 



Технические детали

Распространяется через два набора эксплойтов: RIG EK и GrandSoft EK. Используется фальшивое обновление шрифтов (Font Update). Также распространяется как RaaS на форумах кибер-андеграунда, в том числе в Рунете. Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Это изображение из ресурсов шифровальщика. было представлено исследователем. 

➤ Детектируемые языки крипто-вымогателя: английский и еврейский. 

О чём это говорит? 
Тут могут быть разные варианты. 

➤ 1. Распространение на подпольных форумах как RaaS и по партнерской программе. Запрещено запускать и работать в странах СНГ: Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Таджикистан, Туркменистан, Украина, Узбекистан (краткий код стран - AM, AZ, BY, GE, KG, KZ, MD, RU, TJ, TM, UA, UZ).

➤ 2. Распространение через спам-рассылки с вредоносным вложением (PDF.EXE, DOC.JS, DOCM) и загрузками вредоносного содержимого с определённых сайтов. Для запуска скриптов используется технология PowerShell из набора Windows.
- Пример темы письма: Receipt Feb-078122
- Пример вложения: Feb01221812.pdf

➤ GandCrab использует сервис определения IP-адреса атакуемого компьютера (whatismyipaddress.com), чтобы атаковать только ПК, находящиеся в Южной Корее или Западной Европе. 

➤ Разработчики GandCrab используют DNS-сервер NameCoin, т.к. это затрудняет правоохранительным органам отслеживание владельца домена и удаление доменов.

➤ GandCrab проверяет наличие в системе exe-файлов антивирусов от следующих производителей: Avast, Avira, Comodo, ESET, F-Secure, Kaspersky, McAfee, Microsoft, Norton/Symantec, Panda, Trend Micro:

 При первом запуске GandCrab попытается подключиться к C&C-серверу вымогателей, размещенному на одном из доменов Namecoin.
При запросе адресов следующих доменов, используется команда nslookup [insert domain] a.dnspod.com, которая запрашивает сервер a.dnspod.com, поддерживающий TLD.bit (иначе говоря, домен верхнего уровня .BIT), для одного из доменов ниже:
  bleepingcomputer.bit
  nomoreransom.bit
  esetnod32.bit
  emsisoft.bit
  gandcrab.bit

 Если компьютер жертвы не может подключиться к C&C-серверу, то шифровальщик GandCrab не будет шифровать файлы, но он будет продолжать работу в фоновом режиме, пытаясь получить IP-адрес для C&C-сервера и подключиться к нему. Как только он сможет разрешить домен, он подключится к IP-адресу C&C-сервера. 

 В настоящее время неизвестно, какие данные отправляются и извлекаются, но C&C-сервер, скорее всего, отправляет открытый ключ, который используется для шифрования файлов. Зато известно, какую информацию GandCrab собирает: имя пользователя, версия ОС, системный язык, наличие антивируса, тип и архитектура процессора, активные и используемые диски (по-буквенно) и прочее.  

 Во время этого процесса, GandCrab также будет подключаться к ipv4bot.whatismyipaddress.com для определения общедоступного IP-адреса жертвы.

➤ Перед шифрованием GandCrab завершает работу множества процессов, относящихся к системе, офисным приложениям, базам данных и прочих. 
Это закроет любые дескрипторы файлов, открытые этими процессами, чтобы их можно было правильно зашифровать.
Вот список процессов в текстовом виде и на картинке: 
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

GandCrab пропускает файлы, полный путь которых содержит следующие строки:
ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

Файлы, связанные с этим Ransomware:
GDCB-DECRYPT.txt
GandCrab.exe
nslookup.exe
apaluj.exe
kpmbri.exe
<random>.exe
\Crypto\
Всего отбрасывает 1976 различных файлов.
GandCrab_Decryptor.exe - дешифровщик от вымогателей
private.gandcrab - файл с закрытым ключом от вымогателей
Скриншот декриптора от вымогателей

Расположения:
\Desktop\ -> GDCB-DECRYPT.txt
\User_folders\ -> GDCB-DECRYPT.txt
\System Volume Information\ -> GDCB-DECRYPT.txt
\Temp\GandCrab.exe
%APPDATA%\Microsoft\apaluj.exe
%Appdata%\Microsoft\Crypto\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gandcrab.bit  (78.155.206.6) - C2
xxxx://a.dnspod.com (112.90.141.215) - DNS-сервер
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 США)
xxxx://66.171.248.178/ 
xxxx://92.53.66.11/***
xxxx://bot.whatismyipaddress.com/
---
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3647
---
xxxx://gdcbghvjyqy7jclk.onion/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.casa/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.guide/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.plus/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.rip/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.top/6c6a47a5c33fdc78
---
xxx://sorinnohoun.com/*** - для загрузки вредоносного содержимого (PowerShell-скрипт)
См. ниже результаты анализов.

Результаты анализов:
ANY.RUN анализ и обзор >>
ANY.RUN анализ и обзор декриптора >>
Гибридный анализ >> еще >>
VirusTotal анализ >>
Broad анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 31 января 2018:
Пост в Твиттере >>
Файл: Font_update.exe
Результаты анализов: VT + HA
ВНИМАНИЕ!!! GandCrab использует трюк с поддельным установщиком шрифтов (шрифт HoeflerText), который загружается со специально подготовленных сайтов. Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере. 
Трюк со шрифтом HoeflerText ранее использовался во вредоносной кампании Spora Ransomware и некоторых других. 


Обновление от 5 февраля:
Пост в Твиттере >>
dns.soprodns.ru - новый DNS-сервер
nomoreransom.coin - новый C2-сервер
Результаты анализов: AR + VT

Обновление от 7 февраля:
К распространению добавился malspam (спам-рассылки с вредоносами). 
Письма замаскированы под платежные квитанции с темами типа Receipt Feb-078122. 
Если получатель откроет вложение без предварительной проверки антивирусной программой, то по содержащейся в нём ссылке с сайта butcaketforthen.com сразу загружается DOC-файл с макросом, который запускает PowerShell-скрипт, устанавливающий GandCrab с сайта sorinnohoun.com
Статья об этом обновлении на BleepingComputer.com >>
Файл: nslookup.exe
Результаты анализов: VB + VT + HA


Обновление от 21 февраля 2018:
GandCrab версия 2.3r
Пост в Твиттере >>
Результаты анализов: VT


Обновление от 23 февраля 2018:
GandCrab версия 2.3.1r
Пост в Твиттере >>
Результаты анализов: VT + Cape

Обновление от 27 февраля 2018:
GandCrab версия 2.3.2r
Пост в Твиттере >>
Результаты анализов: VB


Обновление от 1 марта:
Заявление русскоязычных распространителей, которые называют себя — крабы. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GandCrab Decrypter для дешифровки >>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + Tw + Tw
 ID Ransomware (ID as GandCrab)
 Write-up (add. January 29, 2018), Topic of Support
 🎥 Video review
 - Видеообзор сделан CyberSecurity GrujaRS
 Thanks: 
 AnyRun, GrujaRS, David Montenegro‏ 
 MalwareHunterTeam, Marcelo Rivero
 Andrew Ivanov and my volunteers
 Lawrence Abrams, Marcelo Rivero
 and others...

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton